WAF開發之Cookie安全防護
發布時間:2025-04-15 點擊:30
一、前言
cookie安全防護功能主要實現以下兩個目標
1、防止xss攻擊盜取用戶cookie
2、防止基于cookie的sql注入\命令注入\其他亂七八糟的攻擊
優點 1、安全(有破解思路麻煩告知)
2、通用
3、配置簡單
缺點 1、基于ip地址進行識別,在相同外網ip的情況下,可xss盜取cookie成功,既不防熟人xss攻擊
2、在登陸后如果ip地址變動,需重新登陸
二、實現 實現思路是通過aes加密set-cookie中的鍵值來確保cookie的安全,具體如下圖:
set-cookie加密流程
首先獲取aes的初始密鑰key,接著判斷是否開啟客戶端ip綁定,是的話aes的密鑰為key+clientip,不是則為key,之后通過aes對set-cookie的鍵值進行加密,加密過程中忽略expires,max-age,domain等保留鍵,之后重寫整個set-cookie
cookie解密流程
首先獲取aes的初始密鑰key,接著判斷是否開啟客戶端ip綁定,是的話aes的密鑰為key+clientip,不是則為key,之后通過aes對cookie的鍵值進行解密,解密過程中判斷是否開啟安全模式,是的話將丟棄無法解密的鍵值,不是則保留鍵值,之后重寫整個cookie
開啟配置
如上圖,一共四個選項:
第一個為是否開啟cookie安全防護,默認為關閉;
第二個為是否開啟客戶端ip綁定,默認為開啟;
開啟客戶端ip綁定后,當攻擊者通過xss漏洞盜取用戶cookie后,因ip不同導致aes密鑰不同,無法成功解密進而無法登陸系統。關閉客戶端ip綁定將無法防止xss攻擊盜取用戶 cookie。
第三個為安全模式選擇;
默認為兼容模式,兼容模式下,如果參數解密失敗,將保留,即解密失敗的鍵值將維持原樣傳遞到后端服務器,例如xss攻擊獲取的session加密串將直接傳遞到后端,但因服務器檢測不到session鍵值而無法登陸。安全模式將丟棄所有無法解密的鍵值。選擇兼容模式無法防止基于cookie的sql注入等攻擊。
第四個為密鑰,值默認為false,開啟后需點擊按鈕生成隨機16位密鑰。
實現效果
三、總結 cookie安全防護功能的核心在于,數據的加密解密都在waf上進行,密鑰無需存儲在前端,在沒有密鑰的情況下,可以認為密文是無法破解的。在開啟客戶端ip綁定后,可以在全站層面有效防止xss攻擊盜取用戶cookie的情況,攻擊者就算拿到用戶session的密文也因waf無法解密而失效。而開啟安全模式后,攻擊者輸入的基于cookie的sql注入\命令注入等因waf無法解密而被丟棄,從而保護后端服務器安全。總的來說,該功能可以做為一種低成本的全站xss攻擊緩解方案。
對于waf而言,該功能的意義在于,后續的防護規則開發,可以忽略cookie方面的規則防護。同時如果基于性能和風險考慮,也可以相應的減少xss攻擊甚至不要xss攻擊的防護規則,從而減少規則集的維護難度和waf處理性能。xss的問題可以通過前端框架處理以及配合其他諸如前端參數加密,機器學習等方法來解決。
對于現有的網站來說,可以通過重寫網站架構中cookie相關的代碼來實現同樣的功能,實現起來也不復雜。
*本文作者:chenjc,轉載請注明來自freebuf.com
蘇州到天津物流專線
怎么利用電子郵件做好網絡推廣?
深圳到萊州物流專線
網站建設測試階段的10項修煉
廣州到阿勒泰物流專線
洛陽到呂梁物流專線
南寧到甘南物流專線
煙臺到阿里物流專線
2、防止基于cookie的sql注入\命令注入\其他亂七八糟的攻擊
優點 1、安全(有破解思路麻煩告知)
2、通用
3、配置簡單
缺點 1、基于ip地址進行識別,在相同外網ip的情況下,可xss盜取cookie成功,既不防熟人xss攻擊
2、在登陸后如果ip地址變動,需重新登陸
二、實現 實現思路是通過aes加密set-cookie中的鍵值來確保cookie的安全,具體如下圖:
set-cookie加密流程
首先獲取aes的初始密鑰key,接著判斷是否開啟客戶端ip綁定,是的話aes的密鑰為key+clientip,不是則為key,之后通過aes對set-cookie的鍵值進行加密,加密過程中忽略expires,max-age,domain等保留鍵,之后重寫整個set-cookie
cookie解密流程
首先獲取aes的初始密鑰key,接著判斷是否開啟客戶端ip綁定,是的話aes的密鑰為key+clientip,不是則為key,之后通過aes對cookie的鍵值進行解密,解密過程中判斷是否開啟安全模式,是的話將丟棄無法解密的鍵值,不是則保留鍵值,之后重寫整個cookie
開啟配置
如上圖,一共四個選項:
第一個為是否開啟cookie安全防護,默認為關閉;
第二個為是否開啟客戶端ip綁定,默認為開啟;
開啟客戶端ip綁定后,當攻擊者通過xss漏洞盜取用戶cookie后,因ip不同導致aes密鑰不同,無法成功解密進而無法登陸系統。關閉客戶端ip綁定將無法防止xss攻擊盜取用戶 cookie。
第三個為安全模式選擇;
默認為兼容模式,兼容模式下,如果參數解密失敗,將保留,即解密失敗的鍵值將維持原樣傳遞到后端服務器,例如xss攻擊獲取的session加密串將直接傳遞到后端,但因服務器檢測不到session鍵值而無法登陸。安全模式將丟棄所有無法解密的鍵值。選擇兼容模式無法防止基于cookie的sql注入等攻擊。
第四個為密鑰,值默認為false,開啟后需點擊按鈕生成隨機16位密鑰。
實現效果
三、總結 cookie安全防護功能的核心在于,數據的加密解密都在waf上進行,密鑰無需存儲在前端,在沒有密鑰的情況下,可以認為密文是無法破解的。在開啟客戶端ip綁定后,可以在全站層面有效防止xss攻擊盜取用戶cookie的情況,攻擊者就算拿到用戶session的密文也因waf無法解密而失效。而開啟安全模式后,攻擊者輸入的基于cookie的sql注入\命令注入等因waf無法解密而被丟棄,從而保護后端服務器安全。總的來說,該功能可以做為一種低成本的全站xss攻擊緩解方案。
對于waf而言,該功能的意義在于,后續的防護規則開發,可以忽略cookie方面的規則防護。同時如果基于性能和風險考慮,也可以相應的減少xss攻擊甚至不要xss攻擊的防護規則,從而減少規則集的維護難度和waf處理性能。xss的問題可以通過前端框架處理以及配合其他諸如前端參數加密,機器學習等方法來解決。
對于現有的網站來說,可以通過重寫網站架構中cookie相關的代碼來實現同樣的功能,實現起來也不復雜。
*本文作者:chenjc,轉載請注明來自freebuf.com
蘇州到天津物流專線
怎么利用電子郵件做好網絡推廣?
深圳到萊州物流專線
網站建設測試階段的10項修煉
廣州到阿勒泰物流專線
洛陽到呂梁物流專線
南寧到甘南物流專線
煙臺到阿里物流專線